Cheval de troie (dosdefrag38.bat)
Luc Masset
-
Luc Masset -
Luc Masset -
Bonjour,
je pense avoir un cheval de troie sur mon PC (win XP Pro). Le gestionnaire de tâches et l'éditeur du registe sont "désactivés par l'administrateur". L'anti-virus (Norton 2004) ne fonctionne plus (les exécutables ont été effacés). Lorsque j'exécute un programme, il disparaît après 2 ou 3 secondes.
J'ai fait tourner le programme "StartupList.exe" pour voir tout ce qui était démarré et je retouve "c:\windows\system32\dosdefrag38.bat" à presque chaque ligne. Si je vais voir dans l'explorer, ce fichier .bat n'existe pas.
Quelqu'un connait-il la marche à suivre pour enlever ça ???
Merci d'avance
Luc
je pense avoir un cheval de troie sur mon PC (win XP Pro). Le gestionnaire de tâches et l'éditeur du registe sont "désactivés par l'administrateur". L'anti-virus (Norton 2004) ne fonctionne plus (les exécutables ont été effacés). Lorsque j'exécute un programme, il disparaît après 2 ou 3 secondes.
J'ai fait tourner le programme "StartupList.exe" pour voir tout ce qui était démarré et je retouve "c:\windows\system32\dosdefrag38.bat" à presque chaque ligne. Si je vais voir dans l'explorer, ce fichier .bat n'existe pas.
Quelqu'un connait-il la marche à suivre pour enlever ça ???
Merci d'avance
Luc
A voir également:
- Cheval de troie (dosdefrag38.bat)
- Creer un fichier .bat - Guide
- Bat to exe converter - Télécharger - Édition & Programmation
- Antivirus cheval de troie gratuit - Télécharger - Antivirus & Antimalwares
- Ordinateur bloqué cheval de troie - Accueil - Arnaque
- Copy bat ✓ - Forum Programmation
2 réponses
télécharge eScan Antivirus Toolkit Utility
et nettoie ton pc avec
http://www.mwti.net/download/tools/mwav.exe
http://www.mwti.net/antivirus/free_utilities.asp
(il faut cocher la case "drive" puis cliquer sur le bouton "scan/clean")
a executer en mode sans échec et restauration système désactivée
afin de pouvoir effectuer un nettoyage complet.
et nettoie ton pc avec
http://www.mwti.net/download/tools/mwav.exe
http://www.mwti.net/antivirus/free_utilities.asp
(il faut cocher la case "drive" puis cliquer sur le bouton "scan/clean")
a executer en mode sans échec et restauration système désactivée
afin de pouvoir effectuer un nettoyage complet.
salut,
merci pour ton aide. Même en mode sans échec, il n'y a rien qui marchait. N'importe quel programme était "tué" par le ver. En fait, pendant 3 jours, il ne m'a rien mis comme message et je ne pouvais pas savoir de quel cheval de troie ou de quel ver il s'agissait. Au 3eme jour, il m'a mis un message du genre "Kill US etc" et il a créé un fichier nommé BARDIEL. Après recherche sur le site Symantec, j'ai vu qu'il s'agissait du ver W32.HLLW.Darby.
Pour l'enlever, j'ai procéder comme suit :
1. executer StartupList.exe pour savoir ou se trouvait le ver. C'était sur c:\windows\system32\dosdefrag38.bat.
2. changer les attributs du fichier :
attrib -s -h c:\windows\system32\dosdefrag38.bat
3. effacer le fichier
4. executer un script fourni sur le site de Symantec qui permet de rétablir toutes les associations des programmes (exe, com, bat, ...) et qui rétablit l'accès au registre.
http://securityresponse.symantec.com/avcenter/venc/data/tool.to.reset.shellopencommand.registry.keys.html
5. Enlever manuellement toutes les traces de "dosdefrag38.bat" dans le registre
6. réinstaller Norton Anti-virus 2004 et scanner tout pour enlever les restes du ver.
Après ça, tout remarche comme avant.
Luc
merci pour ton aide. Même en mode sans échec, il n'y a rien qui marchait. N'importe quel programme était "tué" par le ver. En fait, pendant 3 jours, il ne m'a rien mis comme message et je ne pouvais pas savoir de quel cheval de troie ou de quel ver il s'agissait. Au 3eme jour, il m'a mis un message du genre "Kill US etc" et il a créé un fichier nommé BARDIEL. Après recherche sur le site Symantec, j'ai vu qu'il s'agissait du ver W32.HLLW.Darby.
Pour l'enlever, j'ai procéder comme suit :
1. executer StartupList.exe pour savoir ou se trouvait le ver. C'était sur c:\windows\system32\dosdefrag38.bat.
2. changer les attributs du fichier :
attrib -s -h c:\windows\system32\dosdefrag38.bat
3. effacer le fichier
4. executer un script fourni sur le site de Symantec qui permet de rétablir toutes les associations des programmes (exe, com, bat, ...) et qui rétablit l'accès au registre.
http://securityresponse.symantec.com/avcenter/venc/data/tool.to.reset.shellopencommand.registry.keys.html
5. Enlever manuellement toutes les traces de "dosdefrag38.bat" dans le registre
6. réinstaller Norton Anti-virus 2004 et scanner tout pour enlever les restes du ver.
Après ça, tout remarche comme avant.
Luc
